L'économie numérique est désormais « data-driven ». Ainsi, les entreprises de l’Internet telles que Amazon ou Criteo utilisent des données personnelles pour développer leurs modèles d'affaires via les recommandations de produits et le reciblage des publicités. Mais quelles formes de confiance les consommateurs accordent-ils à ces acteurs dans la gestion de leurs données personnelles ? Cette confiance semble en tout cas décliner ainsi qu’en témoigne les résultats du baromètre de la confiance de l’ACSEL-CDC [1] : 21% des internautes interrogés en 2015 se déclarent réticents à la communication de données personnelles, contre 5% en 2009.
Pourquoi les citoyens ne souhaitent-ils pas partager leurs informations personnelles ? Auraient-ils « des choses à cacher » comme l’affirment certains acteurs inspirés de l’école de Chicago qui considère que cela engendre des coûts de collecte et donc des inefficacités économiques ? Il serait, à notre sens, réducteur de limiter l’analyse du partage d’informations à cette raison. En effet, les données peuvent être collectées et utilisées de manière abusive par les entreprises ce qui engendre des risques pour les consommateurs tels que la fraude, le harcèlement, le spam, le piratage, le vol d'identité, etc. Ces risques restent néanmoins difficiles à évaluer du point de vue du consommateur. D'une part, vérifier par soi-même les différentes utilisations des données personnelles et leur conformité à la législation est loin d’être aisé. Ceci est d’autant plus vrai à l'ère du Big Data où des ensembles de données indépendants, contenant un nombre limité de données directement identifiantes, peuvent être combinés assez facilement pour ré-identifier une personne. D'autre part, la majorité des personnes ne dispose pas des connaissances suffisantes pour évaluer le niveau de sécurité informatique lors des différentes étapes du traitement des données. Cette situation conduit à des asymétries d'information : l’entreprise qui traite les données personnelles de ses clients détient plus d'informations relatives à son niveau de conformité juridique et à la sécurité de son infrastructure informatique que le client lui-même.
L'asymétrie d'information peut encourager des vendeurs peu scrupuleux à appliquer des politiques abusives, diminuant la qualité perçue de tous les produits, y compris ceux qui se conforment à la réglementation en vigueur. Or, deux raisons peuvent justifier le fait que le consommateur ne bannisse pas directement un vendeur peu scrupuleux. D’abord, il peut penser que le bénéfice qu’il tire de l’utilisation – souvent gratuite – du service mis à sa disposition dépasse largement le coût d’une utilisation « abusive » de ses données personnelles. Ensuite, le consommateur manque parfois de jugement critique, probablement en raison d'un défaut de connaissances à la fois juridiques et techniques liées à son éducation.
En présence d'asymétries d'information, le consommateur recherche des signaux lui permettant d’évaluer le niveau de protection de ses données personnelles. Parmi ces repères, les labels et marques de confiance jouent un rôle important dans la mesure où cette forme de certification fournit une « certaine » garantie aux utilisateurs de services numériques.
Ces labels peuvent être délivrés par des organismes privés ou publics. L’expérience américaine souligne néanmoins les limites des labels privés. En effet, le label TRUSTe a été condamné à plusieurs reprises par la Federal Trade Commission pour non-respect des conditions d’octroi et de renouvellement du label. Les labels CNIL sont, pour leur part, gratuits ; leur mode de délivrance élimine en grande partie le risque de clientélisme. Cependant, on ne peut ignorer les coûts associés à la procédure de labellisation en termes de jours/hommes à la fois pour le candidat et pour l’autorité qui le délivre, ce qui pourrait écarter les petites entreprises du processus de labellisation et augmenter significativement le budget de la CNIL si celle-ci devait délivrer un nombre croissant de labels.
Dans les deux cas cités, les labels ou marques de confiance correspondent à une certification centralisée où un expert garantit la conformité des procédures. Dans le cadre des recherches menées par notre équipe pluridisciplinaire, nous proposons d’envisager deux autres possibilités : une approche décentralisée et une approche où la confiance est « assistée » par la technologie.
L’approche décentralisée part de l’idée que la labellisation pourrait être assurée par les internautes eux-mêmes, à travers la mise en place d’une plateforme de réputation qui noterait la manière dont les acteurs du numérique gèrent les données personnelles. Ces systèmes de réputation sont massivement utilisés par les entreprises de commerce électronique et sont certainement à l’origine du succès de services comme Ebay ou Amazon Marketplace. L’efficacité des notations par les pairs réside dans l’agrégation d’avis et d’expériences diversifiées qui, par leur nombre, doivent conduire à mieux estimer la qualité d’un produit ou d’un vendeur à l’inverse d’un groupe restreint d’experts. De plus, on constate que les consommateurs font davantage confiance aux avis émis par leurs pairs qu’à ceux écrits par les experts, même s’il existe de nombreux faux avis. On pourrait ainsi imaginer un système de notations décentralisé, à l’instar de l’extension de navigateur WOT (Web of Trust) basée sur le crowdsourcing : les utilisateurs noteraient eux-mêmes les sites Internet et feraient part de leur expérience au reste de la communauté à travers un label de couleur.
La seconde hypothèse, celle de la confiance « assistée » par la technologie, envisage le développement de registres numériques sécurisés et décentralisés. On peut, par exemple, se demander si l’utilisation de chaînes de blocs (blockchains) semi-privées ne permettrait pas de créer des applications contribuant à la protection des données personnelles. Cette technologie, très à la mode, est basée sur le principe suivant : lorsqu’un individu souhaite enrichir le registre d’un élément, tous les autres utilisateurs de la blockchain sont mis à contribution pour acter cet ajout de façon indélébile. A cette fin, un problème algorithmique leur est soumis. Lorsqu’un des utilisateurs résout le problème, il atteste par la même occasion de la validité de l’ajout, et le marque d’un sceau informatique daté et inaliénable. Une nouvelle entrée ne peut donc pas être falsifiée ou antidatée, car les autres utilisateurs ne peuvent authentifier que des ajouts en temps réel. Les nouveaux éléments sont regroupés en blocs, puis ceux-ci sont placés à la suite de blocs plus anciens formant ainsi une chaîne de blocs — ou blockchain. La blockchain joue le rôle d’intermédiaire de confiance, décentralisé et incontestable. Certains ont déjà envisagé l’utilisation de la blockchain pour sécuriser l’accès à des données personnelles via des smart contracts (des contrats automatisés qui pourront valider des tâches et des rémunérations liées)[2] . Ce serait une autre alternative possible aux labels publics ou privés qu’il s’agira d’analyser dans le cadre de la Chaire.
Patrick Waelbroeck, professeur d'économie industrielle et d'économétrie à Télécom ParisTech, co-fondateur de la Chaire
[1] www.acsel.asso.fr/resultats-du-barometre-2015-acsel-cdc-de-la-confiance-des-francais-dans-le-numerique
[2] Voir par exemple, http://dupress.com/articles/using-blockchain-for-smart-contracts